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Verfahren und Vorrichtung zur Steuerunq von 
Betriebsabiauf en, insbesondere in einem Fahrzeuq 

Die vorliegende Erfindung betrifft ein Verfahren zur 
Steuerung und/oder Regelung von BetriebsablSuf en, 
insbesondere in einem Fahrzeug. Dabei steht eine 
Funktionseinheit zum Versenden und Empfangen von 
Inf ormationen uber mindestens eine Verbindungseinheit mit 
mindestens einem Bussystem in Verbindung. Die, 
Funktionseinheit wird von einer Oberwachungseinheit 
iiberwacht, das Versenden von Inf ormationen von der 
Funktionseinheit iiber das mindestens eine Bussystem wird 
durch die Oberwachungseinheit unterbunden, falls ein Fehler 
der Funktionseinheit erkannt wird. 

Die Erfindung betrifft aulierdem eine Vorrichtung zur 
Steuerung und/oder Regelung von Betriebsablauf en, 
insbesondere in einem Fahrzeug. Die. Vorrichtung umfasst 
mindestens eine Funktionseinheit, welche zum Versenden und 
Empfangen von Inf ormationen uber mindestens eine 
Verbindungseinheit mit mindestens einem Bussystem in 
Verbindung steht, AuBerdem umfasst die Vorrichtung 
mindestens eine Oberwachungseinheit, welche die 
Funktionseinheit uberwacht. Die Oberwachungseinheit 
unterbindet das Versenden von Inf ormationen von der 



Funktionseinheit tiber das mindestens eine Bussystem, falls 
sie einen Fehler der Funktionseinheit erkennt. 

Schlielilich betrifft die vorliegende Erfindung auch ein 
Steuergerat zur Steuerung und/oder Regelung von 
Betriebsablauf en insbesondere in einem Fahrzeug. Das 
Steuergerat umfasst eine Funktionseinheit, welche zum 
Versenden und Empfangen von Inf ormationen uber mindestens 
eine Vsrbindungseinheit mit mindestens einem Bussystem in 
Verbindung steht, und eine Oberwachungseinheit , welche die 
Funktionseinheit tiberwacht. Die Oberwachungseinheit 
unterbindet das Versenden von Informationen voa der 
Funktionseinheit liber das mindestens eine Bussystem, falls 
sie einen Fehler der Funktionseinheit erkennt. 



Stand der Technik 

Aus der DE 198 33 462 Al ist eine Schaltungsanordnung zur 
Abkopplung einer elektronischen Einrichtung von einer 
Datenleitung in einem Kraft fahrzeug bekannt . Uber die 
Datenleitung tauschen die elektronische Einrichtung und 
mindestens ein weiteres elektrisches System wahrend des 
Betriebs der elektronischen Einrichtung Informationen aus. 
Bei der Schaltungsanordnung, bei welcher trotz Ausfall 
einer an die Datenleitung angeschlossenen elektronischen 
Einrichtung der Fahrzeugbetrieb auf rechterhalten werden 
kann, ist die elektronische Einrichtung mit einer 
Fehlererkennungseinrichtung verbunden. Bei Feststellung 
eines Fehlers der elektronischen Einrichtung durch di-= 
Fehlererkennungseinrichtung wird die elektronische 
Einrichtung durch die Schaltungsanordnung von der 
Datenleitung abgekoppelt, wobei die Betriebsf ahigkeit des 
elektrischen Systems auf rechterhalten bleibt. 



In der DE 198 33 462 Al geht es insbesondere urn die 
Oberwachung der Datenleitung und urn die Erkennung von 
Fehlern der Datenleitung, welche die Funktionsf ahigkeit d€ 
an die Datenleitung angeschlossenen elektronischen 
Einrichtung beeintr^chtigen konnen. Zurti Abkoppeln der 
elektronischen Einrichtung von der Datenleitung im 
Fehlerfall ist die Fehlererkennungseinrichtung in die 
Datenleitung geschaltet und umfasst elektrische 
Schaltelemente, um die Datenleitung im Fehlerfall 
auftrennen zu konnen. Das setzt jedoch voraus, dass in 
jeder Datenleitung, mit der die elektronische Einrichtung 
in Verbindung steht und die im Fehlerfall -aufgetrennt 
werden soil, Schaltelemente angeordnet sein mUssen. 

Aus der DE 100 30 996 Al ist ein Verfahren und eine 
Vorrichtung der eingangs genannten Art bekannt. Dorc wird 
vorgeschlagen, dass die Funktionsuberwachung der 
Funktionseinheit durch die Oberwachungseinheit mittels 
eines Schaltelements durch die Funktionseinheit aktiviert 
bzw- deaktiviert werden kann . Das Schaltelement kann bspw. 
durch Setzen oder Loschen eines Bits realisiert werden. Be 
aktivierter Oberwachungsf unktion wird die Funktionseinheit 
von dem Bussystem durch Zugriff getrennt. Dazu steuert die 
Oberwachungseinheit ein weiteres Schaltelement an, durch 
das die Verbindung von der Funktionseinheit zu dem 
Bussystem unterbrochen wird. Als problemat isch erweist es 
sich auch hier, dass ebenfalls gesonderte Schaltelemente i 
der Verbindung zwischen der Funktionseinheit und dem 
Bussystem vorgesehen sein milssen, um die Funktionseinheit 
im Fehlerfall von dem Bussystem abkoppeln zu konnen. 

Aus dem Stand der Technik sind zudem Oberwachungskonzepte 
fur Funktionseinheiten, insbesondere fiir 
Kraf tf ahrsteuergerate, bekannt, bei denen die 
Oberwachungseinheit in einem Fehlerfall einen Reset 
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auslGst. Infolge des Reset fahrt die Funktionseinheit 
erneut hoch und erreicht danach ihren Becriebszustand . 
Falls der Fehler der Funktionseinheit nach wie vor besteht, 
erkennt die Oberwachungseinheit den Fehler erst in dem 
Betriebszustand erneut und lost erst dann wieder einen 
Reset der Funktionseinheit aus. Das Versenden von 
Informationen von der Funktionseinheit uber das Bussystem 
ist nur kurzzeitig wShrend des Reset-Zustandes unterbunden, 
da nur in diesem Zustand die Ein-/Ausgangs- 
Anschlusspositionen (sog. Ports) der Funktionseinheit 
inaktiv sind. Bei dem bekannten Verfahren kann eine 
fehlerbehaftete Funktionseinheit also mGglicherweise 
fehlerhaftete Informationen Uber das Bussystem versenden, 
obwohl die Oberwachungseinheit einen' Fehler der 
Funktionseinheit detektiert hat. Dadurch kann es zu 
sicherheitsrelevanten Situationen bei der Steuerung der 
Betriebsablaufe kommen. 

Der vorliegenden Erfindung liegt die Aufgabe zugrunde, das 
Versenden von Informationen von der Funktionseinheit aber 
das Bussystem sicher und zuverlSssig und auf einfache Weise 
zu unterbinden. 

Zur Lesung dieser Aufgabe schlagt die vorliegende Erfindung 
ausgehend von dem Verfahren der eingangs genannten Art vor, 
dass durch die Oberwachungseinheit ein Fehlersignal 
ausgegeben wird, das in AbhSngigkeit davon unterschiedliche 
Werte annimmt, ob ein Fehler der Funktionseinheit erkannt 
wurde Oder nicht, und dass das Fehlersignal an der 
mindestens einen Verbindungseinheit angelegt und die 
mindestens eine Verbindungseinheit. durch das anliegende 
Fehlersignal deaktiviert wird, falls ein Fehler der 
Funktionseinheit erkannt wurde. 
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Vorteile der Erfindung 

Durch das erfindungsgemafie Verfahren wird bei einem 
erkannten Fehler der Funktionseinheit von der 
Oberwachungseinheit kein Reset ausgel5st, sondern einfach 
exne Verbindungseinheit, die zwischen der Funktionseinheit 
und dem Bussystem angeordnet ist, abgeschaltet . Die 
Verbindungseinheit ist bspw. als eine 
Signalverstarkungseinrichtung, insbesondere als eine 
10 Bustreiberschaltung des Bussystems (sog. Bus-Driver) 

ausgebildet . Die Bustreiberschaltung dient insbesondere zur 
Verstarkung eines von einer Bussteuerung (sog. Bus- 
Controller) erzeugten Bussignal, bevor es-tiber das 
Bussystem ubertragen wird, sowie zur ruckwirkungsf reien 
Signalanpassung. Erf indungsgemSJi bleibt also die 
Funktionseinheit an sich in einem betriebsf ahigen Zustand 
und kann nach wie vor Informationen erzeugen. Diese 
Informationen konnen jedoch nicht mehr iiber das Bussystem 
ubertragen werden, da die ftir das Versenden von 

Informationen erforderliche Verbindungseinheit deaktiviert 
wurde . 

Durch das erfindungsgemafie Verfahren wird eine 
Beeintrachtigung anderer Funktionseinheiten, die uber da^ 
Bussystem mit der f ehlerbehaf teten Funktionseinheit in 
Verbindung stehen, auf einfache Weise verhindert. Eine 
fehlerbehaftete Funktionseinheit kann im Fehlerfall somit 
keme potentiell falschen oder nicht gewUnschten 
Informationen uber das Bussystem versenden. Dadurch ergeben 
szch eigensichere Einzelsysteme in einem Netzwerkverbund. 

Besonders vorteilhaft ist, dass das Versenden von 
informationen durch die Funktionseinheit ohne den Einsatz 
zusatzlicher Schaltelemente zwischen der Funktionseinheit 
und dem Bussystem oder in dem Bussystem selbst sicher und 
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zuverlassig unterbunden warden kann. Aulierdem ist mit der 
vorliegenden Erf indung das Versenden von Inf ormationen ' 
durch die Funktionseinheit dauerhaft unterbunden, was 
gegenuber einem Reset der Funktionseinheit den Vorteil hat 
dass die fehlerhafte Funktionseinheit zu keine. Ze.tpunU 
Informationen mehr uber das Bussystem versenden kann 
Sofern es die Fehler der Funktionseinheit zulassen 
arbeitet diese noch ganz normal, d. h. sie erzeugt'noch 
infor^nationen zur Steuerung und/oder Regelung der 
Betriebsabl.ufe, wobei diese Inf ormationen allerdings 

nlch\ f "^'^^^ I-formationen k5nnen jedoch 

nxcht Uber das Bussystem tibertragen werden. Durch den • 
weiteren Betrieb der Funktionseinheit ist es mdglich, auch 
xn exnem Fehlerfall die Funktionseinheit weiterhin zu 
aberwachen und das Versenden von Informationen durch die 
Funktionseinheit unmittelbar wieder zu erlauben, sobald der 
Fehler der Funktionseinheit nicht mehr auftritt. 

Der Grund fur das notwendige Unterbinden des Versendens von 
Informationen durch die Funktionseinheit im Fehlerfall 
ixegt darin, dass eine f ehlerbehaf tete Funktionseinheit 
moglicherweise nicht mehr die Kontrolle uber sich selbst 
und tiber die korrekte Erzeugung von zu versendenden 
Informationen hat und sich aufgrund des eigenen Fehlers 
auch nicht zuverlassig und sicher abschalten kann. Durch 
exne defekte Funktionseinheit in einem Netzwerkverbund, in 
dem mehrere Funktionseinheiten uber ein Bussystem 
n^iteinander in Verbindung stehen, besteht die Gefahr, dass 
die Ubrigen empfangenden Funktionseinheiten an d^m 
Bussystem von der f ehlerbehaf teten sendenden 
Funktionseinheit fehlerhafte Informationen erhalten und 
dadurch veranlasst ungewollte Aktionen ausfahren. Diese 
durch fehlerhafte Informationen ausgel6sten Aktionen konnen 
sich auch sicherheitsrelevant auf die zu steuernden 
Betriebsablaufe auswirken. Am Beispiel von 



KraftfahrzeugsteuergerMten .ennte bapw. ein SteuergerSt far 
dxe Brennkraftmaschine im Fehlerfall ein 

Getriebesteuerger.t dazu veranlassen, in niedrigere G.nge 
herunterzuschalten, wodurch das Fahrzeug in einer 
xnstabilen Fahrzustand gelangen konnte. 

GemMB einer vorteilhaf ten Weiterbildung der vorliegenden 
Erfxndung wxrd vorgeschlagen, dassdas Fehlersignal an 
emen RQckset zeingang der mindestens ' einen 

Verbindungseinheit angelegt wird. Der RQckset zeingang wird 

dxe Verbxndungseinheit durch das an de. RUcksetzeingang 
anlxegende Fehlersignal deaktiviert werden. 

Gema. einer bevorzugten Ausf ahrungsf o.™ der vorliegenden 
Erfxndung wxrd vorgeschlagen, dass die Funktionseinheit .it 
mehreren Bussystemen in Verbindung steht und das 
Fehlersignal an Verbindungseinheiten mehrerer der 
Bussystexne angelegt wird. Der Vorteil der vorliegenden 

fehle rr.'"' Versenden von Inf or.ationen durch eine 

fehlerbehaftete Funktionseinheit ohne den Einsatz 
zusatzlicher Hardware, wie bspw. zusatzlicher 
llTTT'''''" Unterbrechen der Verbindung zwischen 

fehlerbehafteter Funktionseinheit und Bussyste., sicher und 
zuverlassxg unterbunden werden kann, koxnmt insbesondere 
dann zu. Tragen, wenn die fehlerbehaftete Funktionseinheit 
nxcht nur xnxt einen,, sondern mit mehreren Bussystemen in 
Verbxndung steht, tiber die Informationen an andere 
Funktionseinheiten versandt werden konnen . Bei alien 
Bussystemen, die an die fehlerbehaftete Funktionseinheit 
angeschlossen sind und die in einem Fehlerfall deaktivier^ 

In Te Ve'b": ^^^^ersignal der Oberwachungseinhelt 

an dxe Verbxndungsexnheiten gefahrt. Bussysteme, die nur 
zur Obertragung von Informationen von nicht 
sicherheitsrelevanten Betriebsablauf en (z. B von 
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Komfortfunktionen) dienen, miissen in einem Fehlerfall der 
Funktionseinheit nicht - unbedingt abgeschaltet werden. 

pes weiteren wird vorgeschlagen, dass das Fehlersignal an 
Endstufen von Komponenten angelegt wird, deren 
Betriebsablaufe von der f ehlerbehaf teten Funktionseinheit 
gesteuert bzw. geregelt werden. Diese Komponenten .ind 
bspw. Endstufen von ZUndung, Einspritzung und/oder 
Drosselklappe einer Brennkraftmaschine . Ziel dieser 
MaJJnahme . ist es, die Brennkraftmaschine im Falle eines 
Fehlers der steuernden bzw. regelnden Funktionseinheit 
sicher zum Stillstand zu bringen. 

Als besonders vorteilhaft wird vorgeschlagen, dass nach dem 
Erkennen eines Fehlers der Funktionseinheit die 
Funktionseinheit von der Oberwachungseinheit weiter 
Oberwacht wird und die mindestens eine Verbindungseinheit 
wieder aktiviert wird, falls eine ordnungsgemaBe Funktion 
der Funktionseinheit erkannt wurde . Diese erneute 
Aktivierung der Verbindungseinheiten ist bei der 
vorliegenden Erfindung jederzeit moglich. Beim Stand der 
Technik, wo in einem Fehlerfall ein Reset der 
fehlerbehafteten Funktionseinheit ausgefuhrt wird, kSnnte 
eine ordnungsgemaBe Funktion der Funktionseinheit lediglich 
im Anschluss an den Reset und das Hochfahren der 
Funktionseinheit erkannt werden. Mit der vorliegenden 
Erfindung kann somit nicht nur die Sicherheit eines 
Netzwerkverbundes, welcher mehrere Funktionseinheiten 
umfasst, die aber ein Bussystem miteinander in Verbindung 
stehen, sondern auch die Verf Ogbarkeit des 

Netzwerkverbundes verbessert werden, da die ordnungsgema/ie 
Funktion einer Funktionseinheit besonders schnell erkannt 
werden kann. 

Als eine weitere LSsung der Aufgabe der vorliegenden 
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Erfindung wird ausgehend von der Vorrichtung der eingangs 
genannten Art vorgeschlagen, dass die Oberwachungseinheit 
Mattel zum Bilden und Ausgeben eines Fehlersignals 
aufweist, das in Abhangigkeit davon unterschiedliche Werte 
annimitit, ob die Oberwachungseinheit einen Fehler der 
Funktionseinheit erkannt hat oder nicht, und dass das 
Fehlersignal an die mindestens eine Verbindungseinheit 
gefUhrt ist und die mindestens eine Verbindungseinheit 
durch das anliegende Fehlersignal deaktivierbar ist, falls 
ein Fehler der Funktionseinheit erkannt wurde. Die 
Vorrichtung entspricht bspw. einem Net zwerkverbund, der 
mehrere Funktionseinheiten umfasst, die uber ein Bussystem 
miteinander in Verbindung stehen. 

GemaB einer vorteilhaf ten Weiterbildung der vorliegenden 
Erfindung wird vorgeschlagen, dass das Fehlersignal an 
einen Enable/Disable-Eingang der mindestens einen 
Verbindungseinheit gefiihrt ist. Alternativ wird 
vorgeschlagen, dass das Fehlersignal an einen Reset-Eingang 
der mindestens einen Verbindungseinheit geftihrt ist. 

Vorteilhafterweise umfasst die Vorrichtung mehrere 
Funktionseinheiten, die iiber ein Bussystem miteinander in 
Verbindung stehen, und mindestens eine Oberwachungseinheit, 
wobei die Oberwachungseinheit das Versenden von 
Informationen von einer Funktionseinheit tiber das 
mindestens eine Bussystem unterbindet, falls die 
Oberwachungseinheit einen Fehler dieser Funktionseinheit 
erkannt hat. Eine solche Vorrichtung entspricht dem in 
Kraftfahrzeugen in letzter Zeit zunehmend eingesetzten soq. 
Mehr-Steuergerate-Konzept, bei dem zur Steigerung der 
Rechenleistung mehrere Steuergerate parallel zueinander 
eingesetzt werden, wobei die einzelnen Steuergerat jeweils 
einen bestimmten Teil der Betriebsablauf e steuert. So wird 
bspw. bei einem Zwei-SteuergerSte-Konzept zur Steuerung 
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einer 8-zylindrigen Brennkraf tmaschine ein erstes 
SteuergerMt zur Steuerung von vier der Zylinder und ein 
zweites Steuerger^t zur Steuerung der ubrigen vier Zylinder 
eingesetzt. Die beiden Steuergerate stehen ilber ein 
Bussystem miteinander in Verbindung. Inf ormationen uber den 
Betriebszustand der Brennkraf tmaschine oder des 
Kraftf ahrzeugs werden lediglich dem ersten Steuergerat 
zugefuhrt, welches die Inf ormationen dann uber das 
Bussystem an das zweite Steuergerat weiterleitet . Falls die 
Oberwachungseinheit des ersten Steuergerates einen Fehler 
des Steuergerates erkennt, deaktiviert diese die 
Verbindungseinheit des Bussystems zu dem zweiten 
Steuergerat, um zu verhindern, dass das erste Steuergerat 
fehl'erhafte Inf ormationen an das zweite Steuergerat 
versendet und das zweite Steuergerat die Ubrigen vier 
Zylinder der Brennkraf tmaschine falsch ansteuert und sich 
moglicherweise sogar eine sicherheitsrelevante Situation 
ergeben konnte. 

SchlieUlich wird als noch eine weitere Losung der Aufgabe 
der vorliegenden Erf indung ausgehend von* dem Steuergerat 
der eingangs genannten Art vorgeschlagen, dass die 
Oberwachungseinheit Mittel zum Bilden und Ausgeben eines 
Fehlersignals aufweist, das in Abhangigkeit davon 
unterschiedliche Werte annimmt, ob die Oberwachungseinheit 
einen Fehler der Funktionseinheit erkannt hat oder niche, 
und dass das Fehlersignal an die mindestens eine 
Verbindungseinheit gefuhrt ist und die mindestens eine 
Verbindungseinheit durch das anliegende Fehlersignal 
deaktivierbar ist, falls ein Fehler der Funktionseinheit 
erkannt wurde. 



Zeichnungen 



Weitere Merkmale, Anwendungsmoglichkeiten und Vorteile der 
Erfindung ergeben sich aus der nachf olgenden Beschreibung 
von Ausftlhrungsbeispielen der Erfindung, die in den 
Zeichnungen dargestellt sind. Dabei bilden alle 
beschriebenen oder dargestellten Merkmale fur sich oder in 
beliebiger Kombination den Gegenstand der Erfindung, 
unabhangig von ihrer Zusammenf assung in den 

Patentanspriichen oder deren Ruckbeziehung sowie unabhangig 
von ihrer Formulierung bzw. Darstellung in der Beschreibung 
bzw. in den Zeichnungen. Es zeigen: 



Figur 1 ein erf indungsgemaiJes Steuergerat gemaft einer 
bevorzugten Ausf Qhrungsf orm; 

Figur 2 eine erf indungsgemafie Vorrichtung umfassend zwei 
erf indungsgemaibe Steuergerate, die iiber ein 
Bussystem miteinander in Verbindung stehen; und 

Figur 3 VerlSufe von verschiedenen ZustSnden und Signaleii 
eines aus dem Stand der Technik bekannten 
Steuergerates (Figuren 3b bis 3d) im Vergleich zu 
dem erfindungsgemaiien Steuergerat (Figuren 3e und 
3f ) . 



Beschreibung der Ausfiihrungsbeispiele 

In Fig. 1 ist ein erf indungsgemalies Steuergerat SG in 
seiner Gesamtheit mit dem Bezugszeichen 1 bezeichnet. Das 
Steuergerat 1 dient bspw. zur Steuerung und/oder Regelung 
von Betriebsablaufen in einem Kraf tf ahrzeug. Nachf olgend 
wird bspw. auf ein Steuergerat 1 zur Steuerung vo-.i 
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Betriebsabiaufen in einer Brennkraftmaschine eines 
Kraftfahrzeuges nSher eingegangen. Die Erfindung ist jedoch 
generell anwendbar auf alle Arten von Steuergeraten SG, 
bspw. fur eine Getriebesteuerung, eine Fahrdynamikregelung, 
eine Antriebsschlupf regelung (ASR) , eine automatische 
Abstandsregelung (EDC; Electronic Distance Control), eine 
adaptive Fahrzeuggeschwindigkeitsregelung (ACC; Adaptive 
Cruise Control) etc., die uber ein Bussystem 2 zu einem 
Steuergerateverbund miteinander in Verbindung stehen und 
uber das Bussystem 2 untereinander Inf ormationen 
austauschen. Das Bussystem 2 ist bspw. als ein CAN 
(Controller Area Network) ausgebildet. 

Das Steuergerat 1 umfasst einen Funktionsrechner FR 3, der 
bspw. als ein Mikroprozessor oder als ein Mikrocontroiler 
ausgebildet ist. Auf dem Funktionsrechner 3 ist ein 
Computerprogramm ablauffahig, das zur Erfullung der 
Steuerungs- und/oder Regelungsfunktion des Steuergerates 1 
dient. Der Funktionsrechner 3 steht zum Versenden und 
Empfangen von Inf ormationen iiber eine Verbindungseinheit 4 
mit dem Bussystem 2 in Verbindung. Die Verbindungseinheit 4 
ist als eine Hardware-Schnittstelle zwischen einem 
Controller und einem externen SteuergerSteUbertragungsbus 
mit Signalverstarkungseinrichtung, insbesondere als eine 
Bustreiberschaltung, z. B. als ein CAN-Treiber fur ein CAN- 
Bussystem, ausgebildet. Der CAN-Treiber 4 wird auch als 
CAN-Driver bezeichnet. 



Die in dem Funktionsrechner 3 im Rahmen der Abarbeitung des 
Computerprogramms zur Erfullung der Steuerungs- und/oder 
Regelungsfunktion des Steuergerates 1 erzeugten 
Informationen werden uber einen Datenbus 5 zunachst an eine 
CAN-Steuerung 6 ttbertragen, die auch als CAN-Cont roller 
bezeichnet wird. In der CAN-Steuerung 6 werden die von dem 
Funktionsrechner 3 erzeugten Informationen in eine dem CAN- 



Protokoll entsprechende Form gebracht und fur die 
Obertragung uber das CAN-Bussystem 2 vorbereitet. Vor der 
Obertragung der auf bereiteten Inf ormationen mtissen die 
Signale noch an die elektrischen Eigenschaf ten auf dem CAN- 
Bus angepasst werden. Dazu warden die auf bereiteten 
Informationen uber eine zwei-Draht-Datenleitung 7 von der 
CAN-Steuerung 6 an den CAN-Treiber 4 ubertragen, der die 
Signale auf das CAN-Bussystem 2 legt. 

Dem Funktionsrechner 3 ist eine unabhangige Hardware zur 
Funktionsuberwachung des Funktionsrechners 3 zugeordnet. 
Die unabhangige Hardware wird als Uberwachungsmodul Om 8 
bezeichnet. Das Oberwachungsmodul 8 stellt dem 
Funktionsrechner 3 zyklisch verschiedene Fragen, die in dem 
Funktionsrechner 3 umfangreiche Kontrollmechanismen, wie 
bspw, Programmablauf kontrollen oder Bef ehlstests , 
durchlaufen und ein Ergebnis bilden. Das Ergebnis wird als 
Antwort auf die Frage dem Oberwachungsmodul 8 zurtick 
ubertragen. Ein fehlerfrei arbeitender Funktionsrechner 3 
liefert die richtige Antwort innerhalb eines vorgebbaren 
Zeitfensters zurUck. Das Oberwachungsmodul 8 stellt durch 
Auswerten der Antwort fest, ob ein Fehler des 
Funktionsrechners 3 vorliegt oder nicht. Das beschriebene 
Oberwachungskonzept des Funktionsrechners 3 durch das 
Oberwachungsmodul 8 wird auch als Frage-Antwort- 
Kommunikation bezeichnet. Die Kommunikation zwischen dem 
Oberwachungsmodul 8 und dem Funktionsrechner 2 erfolgt uber 
eine SPI (Serial Parallel Interface) -Schnittstelle 9. 

Durch Auswerten der Antwort des Funktionsrechners 3 wird in 
dem Oberwachungsmodul 8 ein Fehlersignal WDA generiert^ das 
in Abhangigkeit davon unterschiedliche Werte annimmt, ob 
ein Fehler des Funktionsrechners 3 erkannt wurde oder 
nicht. Vorzugsweise wird ein Fehlerzahler inkrement iert , 
falls ein Fehler des Funktionsrechners 3 erkannt wurde. 
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Erst wenn der Fehlerzahler einen Schwellenwert 
tiberschritten hat, wird das Fehler signal WDA ausgegeben. 
Das Fehlersignal WDA wird iiber eine Signalleitung 10 an 
Endstufen El bis EN von Kraf tf ahrzeugkomponenten Kl bis Kn, 
5 die von dem SteuergerSt 1 zur Steuerung und/oder Regelung 
der BetriebsablSuf e angesteuert werden, angelegt. Dies sind 
bspw- bei einem Kraf tf ahrzeugsteuergerat 1 zur Steuerung 
und/oder Regelung einer Brennkraf tmaschine die Endstufen 
fur Zundung, Einspritzung und/oder Drosselklappe . Die 
Ansteuerung der Endstufen El bis En mit dem Fehlersignal 
^^^B WDA dient dazu, im Fehlerfall die Brennkraf tmaschine sicher 
^^^^ zum Stillstand zu bringen und sicherhei tsrelevante 
Situationen zu vermeiden. 

15 Erf indungsgemaJi wird das Fehlersignal WDA aufterdem an einen 
Reset-Eingang RST des CAN-Treibers 4 angelegt. Der CAN- 
Treiber 4 wird durch das anliegende Fehlersignal WDA 
deaktiviert, falls ein Fehler des Funktionsrechners 3 
erkannt wurde. Dadurch wird das Versenden von Inf ormat ionen 

20 durch einen defekten Funktionsrechner 3 uber das CAN- 

Bussystem 2 zuveriassig, wirksam und vor allem dauerhaft 
fiir die gesamte Dauer des Fehlers des Funktionsrechners 3 
^^^^ unterbunden, ^Dadurch wird auch das Versenden m5glicherweise 
^^^V fehlerhafter Inf ormationen durch den f ehlerbehaf teten 
^5 Funktionsrechner 3 iiber das CAN-Bussystem 2 an andere 
Funktionsrechner auf einfache Weise verhindert. Das 
erf indungsgemaiie Steuergerat 1 stellt somit ein 
eigensicheres Eigensystem in einem SteuergerMteverbund dar. 
Es erfullt die Vorschriften an Steuergerate in einem 

30 Steuergeratverbund, dass namlich jedes Steuergerat 1 die 
Verantwortung fiir die von ihm versendeten Inf ormationen 
selbst tragt. 

Ein weiterer Vorteil der vorliegenden Erfindung besteht 
35 darin, dass ein f ehlerbehaf teter Funktionsrechner 3 




weiterhin normal arbeitet und weiterhin - zwar 
moglicherweise fehlerhafte - Inf ormationen zur Steuerung 
der Betriebsablaufe ermittelt . Das Oberwachungsmodul 8 kanr 
somit auch nach .dem Erkennen eines Fehlers des 
Funktionsrechners 3 die Funktionsf ahigkeit des 
Funktionsrechners 3 weiterhin uberwachen. Solange das 
Oberwachungsmodul 8 einen Fehler des Funktionsrechners 3 
erkennt, bleibt der CAN-Treiber 4 deaktiviert, damit die 
von dem fehlerhaften Funktionsrechner 3 ermittelten 
fehlerhaften Inf ormationen nicht auf das CAN-Bussystem 2 
gelangen und andere Funktionsrechner des 

Steuergerateverbundes beeintrachtigen kSnnen. Sobald das 
Oberwachungsmodul 8 jedoch eine ordnungsgemSJie Funk'tion des 
Funktionsrechners 2 erkennt, kann der CAN-Treiber 4" wieder 
aktiviert werden, so dass das Steuergerat 1 wieder ganz 
normal arbeiten kann. Vorteilhaft bei der vorliegenden 
Erfindung ist es, dass eine ordnungsgemafie Funktion des 
Funktionsrechners 3 ohne lange Zeitverzogerung erkannt 
werden kann. 



Noch ein Vorteil der Erfindung ist darin zu sehen, dass das 
Versenden von Inf ormationen durch einen f ehlerbehaf teten 
Funktionsrechner 3 auf einfache Weise und ohne zusStzliche 
Hardware, bspw. ohne zusatzliche Schaltelemente, die in das 
CAN-Bussystem 2 eingebracht werden und im Fehlerfall. 
geQffnet werden, urn den Funktionsrechner 3 von dem CAN- 
Bussystem 2 zu trennen, unterbunden werden kann. 

In Fig. 2 ist ein Mehr-SteuergerSte-Konzept , genauer gesagt 
ein Zwei-Steuergerate-Konzept, dargestellt, bei dem zwei 
Steuergerate SGI, SG2 zur Steuerung. bestimmter 
Betriebsablaufe eingesetzt werden. In dem dargestellten 
Ausfuhrungsbeispiel sind die zwei Steuergerate SGI, SG2 zur 
Steuerung der Betriebsablaufe in einer 12-zylindrigen 
Brennkraftmaschine BM 11 eingesetzt. Dabei steuert das 
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erste Steuergerat SGI die ersten sechs Zylinder ZYL 12 und 
das zweite Steuergerat SG2 die ubrigen sechs Zylinder ZYL 
13. Das erste Steuergerat SGI erhalt Inf ormationen S uber 
den Fahrerwunsch (Stellung des Gaspedals) und/oder uber den 
Betriebszustand der Brennkraf tmaschine 11 und des 
Kraf tf ahrzeugs von ent sprechenden Sensoren. Die beiden 
Steuergerate SGI und SG2 sind uber ein CAN-Bussystem 2 
ruiteinander verbunden. Das zweite Steuergerat SG2 erhalt 
uber das CAN-Bussystem 2 Sollwertvorgaben (z.B. den 
Fahrerwunsch) von dem ersten Steuergerat SGI. Um zu 
verhindern, dass bei einem Fehlef des Funktionsrechners FRl 
des ersten SteuergerStes SGI fehlerhafte Sollwertvorgaben 
an das zweite Steuergerat SG2 Obermittelt werden, wird 
erf indungsgemalJ das Versenden von Inf ormationen durch den 
Funktionsrechner FRl uber das CAN-Bussystem 2 durch die 
Oberwachungseinheit OMl unterbunden. Dazu wird das 
Fehlersignal WDA des Oberwachungsmoduls UMl an einen Reset- 
Eingang RST des CAN-Treibers 4 angelegt. 

Anhand der ausbleibenden Datenubertragung 
(Nachrichtenunterbrechung bzw. fehlende Aktualisierung) 
kann das Steuergerat SG2 einen Defekt im SGI erkennen und 
entsprechende Ersatzmafinahmen oder Fehlerreaktionen im SG2 
aktivieren. 

In den Figuren 3a bis 3f sind die Verlaufe verschiedener 
Steuergeratezustande und Steuergerategrolien uber die Zeit t 
dargestellt. Insbesondere ist in Fig. 3a der Stand eines 
FehlerzShlers des Oberwachungsmoduls 8 dargestellt. Dieser 
steigt am Anfang von Null bis Uber einen Schwel lenwert SW 
an. Sobald der FehlerzShler den Schwellenwert SW 
ubersteigt, wird zum Zeitpunkt ti eine Fehlerreakt ion 
ausgeldst. Das bedeutet, dass das Fehlersignal WDA einen 
entsprechenden Wert annimmt. Als Werte des Fehlersignals 
WDA kommen insbesondere HIGH oder LOW in Frage . 
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Die in den Figuren 3b, 3c und 3d dargestell ten Verlaufe 
entsprechen dem Stand der Technik. In Fig, 3b ist der 
Verlauf eines Reset-Signals dargestellt, welches nach dem 
5 Stand der Technik von dem Oberwachungsmodul OM 8 an einen 
Reset-Eingang des Funktionsrechners FR 3 angelegt wird. Zum 
Zeitpunkt ti wird die Fehlerreaktion ausgelost, die beim 
Stand der Technik darin besteht, einen Reset des 
Funktionsrechners FR 3 auszulosen. In Fig. 3c ist der 

^^10 Verlauf einer GroBe "CAN-Signal freigegeben" daxgestellL. 

^^^B Das Signal hat die Werte ,,frei'' oder „gesperrt^' . Fig. 3c 

kann entnommen werden, dass das CAN-Signal nur wahrend der 
Dauer des Reset (RST = 1 in Fig. 3b) gesperrt ist und 
ansonsten frei ist. Solange das CAN-Signal freigegeben ist, 
15 kann selbst ein f ehlerbehaf teter Funktionsrechner FR 3 
moglicherweise fehlerhafte Inf ormationen iiber das CAN- 
Bussystem 2 libertragen. Dies kann unter Umstanden 
fehlerhafte Reaktionen anderer Funktionsrechner FR des 
SteuergerSteverbundes ausl5sen. 

20 

In Fig. 3d sind verschiedene Zustande des aus dem Stand der 
Technik bekannten Steuergerats SG dargestellt-. Vor dem 
Auslosen der Fehlerreaktion zum Zeitpunkt ti durchlauft das 
Steuergerat SG ein ganz normales Fahrprogramm A. Danach 
25 schliefit sich nach dem Zeitpunkt ti ein Reset-Zustand B an. 
Im Anschluss daran durchlauft das Steuergerat SG eine 
Initialisierungsphase C und wechselt danach wiederum in das 
normale Fahrprogramm A. Wahrend des Fahrprogramms A fuhrt 
das Oberwachungsmodul UM eine Frage-Antwort-Kbmmunikation 
30 mit dem zu iiberwachenden Funktionsrechner FR durch und 
erkennt an einem Zeitpunkt tz,- dass der Fehler des 
Funktionsrechners FR immer noch vorliegt. Danach werden 
wiederum die vorbeschriebenen Zustande Reset B, 
Initialisierung C und Fahrprogramm A mit Frage-Antwort- 
35 Kommunikation D durchlaufen. 
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In den Figuren 3e und 3f sind die Signal- und 
Zustandsveriauf e des erf indungsgemaiien SteuergerMts 1 
dargestellt. Anhand der Fig. 3e ist deutlich zu erkennen, 
dass das CAN-Signal unmittelbar nach der Fehlerreaktion zum 
Zeitpunkt ti fiir die Dauer des Fehlers gesperrt ist. Der 
Funktionsrechner 3 befindet sich nach der Fehlerreaktion in 
einem ganz ncrmalen Fahrprogramm A, wahrend'dessen eine 
Frage-Antwort-Kommunikation D zyklisch ausgefuhrt wird und 
^0 die Endstufen ilber das WDA-Signal sich im deaktivierten 
Zustand befinden (E) . Allerdings werden die von dem 
Funktionsrechner 3 ermittelten Inf ormat ionen nicht iiber das 
CAN-Bussystem 2 iibertragen, da der CAN-Treiber 4 
deaktiviert ist und das CAN-Signal somit gesperrt ist. Bei 
15 der vorliegenden Erfindung befindet sich der 

Funktionsrechner 3 im Fehlerfall niemals in einer Situation 
in der nicht die Funktionsf ahigkeit des Funktionsrechners 3 
durch eine Frage-Antwort-Kommunikation iiberpruft werden 
kGnnte. Dagegen kann beim Stand der Technik im Fehlerfall 
20 eine Oberprlif ung der Funktionsf ahigkeit des 

Funktionsrechners 3 nicht wahrend der Zustande Reset B und 
Initialisierung C erfolgen. Dadurch kann die ordnungsgemaBe 
Funktion des Funktionsrechners 3 bei der vorliegenden 
Erfindung fruher als beim Stand der Technik erkannt werden. 
"25 
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Anspriiche 

1. Verfahren zur Steuerung und/oder Regelung von 
Betriebsablaufen, insbesondere in einem Fahrzeug, wobei 
eine Funktionseinheit (3) zum ' Versenden und Empfangen von 
Informationen tiber mindestens eine Verbindungseinheit (4) 
mit mindestens einem Bussystem (2) in Verbindung steht, die 
Funktionseinheit (3) von einer Oberwachungseinheit (8) 
ttberwacht wird und das Versenden von Informationen von der 
Funktionseinheit (3) Uber das mindestens eine Bussystem (2) 
durch die Oberwachungseinheit (8) unterbunden wird, falls 
ein Fehler der Funktionseinheit (3) erkannt wird, dadurch 
gekennzeichnet, dass durch die Oberwachungseinheit (8) ein 
Fehlersignal (WDA) ausgegeben wird, das in Abhangigkeit 
davon unterschiedliche Werte annimmt, ob ein Fehler der 
Funktionseinheit (3) erkannt wurde oder nicht, und dass das 
Fehlersignal (WDA) an der mindestens einen 
Verbindungseinheit ( 4 ) . angelegt und die mindestens eine 
Verbindungseinheit (4) durch das anliegende Fehlersignal 
(WDA) deaktiviert wird, falls ein Fehler der 
Funktionseinheit (3) erkannt wurde. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet , 
dass das Fehlersignal (WDA) an einen RUcksetzeingang (RST) 
der mindestens einen Verbindungseinheit (4) angelegt wird. 



# 
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3. Verfahren nach Anspruch 1 oder 2, dadurch 
gekennzeichnet, dass die Funktionseinheit (3) mit mehreren 
Bussystemen (2) in Verbindung steht und das Fehlersignal 
(WDA) an Verbindungseinheiten (4) mehrerer der Bussysteme 
(2) angelegt wird. 

4. Verfahren nach einem der Anspruche 1 bis 3, dadurch 
gekennzeichnet, dass das Fehlersignal (WDA) an Endstufen 
(El, . . . En) von Komponenten (Kl, . . . Kn) angelegt wird, 
deren Betriebsablauf e gesteuert bzw. geregelt werden. 

5. Verfahren nach einem der Anspruche 1 bis 4, dadurch 
gekennzeichnet , dass nach dem Erkennen eines Fehlers der 
Funktionseinheit (3) die Funktionseinheit (3) v.on der 
Oberwachungseinheit (8) weiter uberwacht wird und die 
mindestens eine Verbindungseinheit (4) wieder aktiviert 
wird, falls- eine ordnungsgemafte Funktion der 
Funktionseinheit (3) erkannt wurde. Verfahren nach einem 
der Anspruche 1 bis 4, dadurch gekennzeichnet, dass nach 
dem Erkennen eines Fehlers der Funktionseinheit (3) die 
Funktionseinheit (3) nicht zuruckgeset zt wird, weiterhin 
aktiv ein Computerprogramm abarbeitet, und der Sende- und 
Empf angsbetrieb von der Oberwachungseinheit (8) durch 
Aktivierung bzw. Deaktivierung der Verbindungseinheit (4) 
gesteuert wird. 

6. Vorrichtung zur Steuerung und/oder Regelung von 
Betriebsablauf en, insbesondere in einem Fahrzeug, umfassend 
mindestens eine Funktionseinheit (3), welche zum Versenden 
und Empfangen von Inf ormationen uber mindestens eine 
Verbindungseinheit (4) mit mindestens einem Bussystem (2) 
in Verbindung steht, und mindestens eine 

Oberwachungseinheit (8), welche die Funktionseinheit (2) 
tiberwacht, wobei die Oberwachungseinheit (8) das Versenden 
von Inf ormationen von der Funktionseinheit (3) uber das 
mindestens eine Bussystem (2) unterbindet, -falls sie einen 
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Fehler der Funktionseinheit (3) erkennt, dadurch 
gekennzeichnet, dass die Oberwachungseinheit (8) Mittel zum 
Bilden und Ausgeben eines Fehlersignals (WDA) aufweist, das 
in Abhangigkeit davon unterschiedliche Werte annirnmt, ob 
5 die Oberwachungseinheit (8) einen Fehler der 

Funktionseinheit (3) erkannt hat oder nicht, und dass das 
Fehlersignal (WDA) an die mindestens eine 

Verbindungseinheit (4) gefuhrt ist und die mindestens eine 
Verbindungseinheit (4) durch das anliegende Fehlersignal 
10 (WDA) deaktivierbar ist, falls. ein Fehler der 
Funktionseinheit (3) erkannt wurde. 

7. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, 
dass das Fehlersignal (WDA) an einen Enable/Disable-Eingang 
der mindestens einen Verbindungseinheit (4) gefuhrt ist. 

15 8- Vorrichtung nach Anspruch 5, dadurch gekennzeichnet , 
dass das Fehlersignal (WDA) an einen Riickset zeingang (RST) 
der mindestens einen Verbindungseinheit (4) gefuhrt ist. 

9. Vorrichtung nach einem der Anspruche 5 bis 7, dadurch 
gekennzeichnet, dass die Vorrichtung mehrere 
20 Funktionseinheiten (3), die uber ein Bussystem (2; 

•miteinander in Verbindung stehen, und mindestens eine 
Oberwachungseinheit (8) umfasst, wobei die 
Oberwachungseinheit (8) das Versenden von Inf ormat ionen 
. einer Funktionseinheit (3; FRl) uber das mindestens eine 
25 Bussystem (2) unterbindet, falls die Oberwachungseinheit 
(8) einen Fehler dieser Funktionseinheit (3; FRl) erkannt 
hat. • 

10- Steuergerat (1) zur Steuerung und/oder Regelung von 
Betriebsabiauf en insbesondere in einem Fahrzeug, umfassend 
30 eine Funktionseinheit (3), welche zum Versenden und 
Empfangen von Inf ormationen Uber mindestens eine 
Verbindungseinheit (4) mit mindestens einem Bussystem (2) 
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in Verbindung steht, und eine Oberwachungseinheit (8), 
welche die Funktionseinheit (3) uberwacht, wobei die 
Oberwachungseinheit (8) das Versenden von Inf orma tionen vcn 
der Funktionseinheit (3) uber das mindestens eine Bussystem 

(2) unterbindet, falls sie einen Fehler der 

Funktionseinheit (3) erkennt, dadurch gekennzeichnet, dass 
die Oberwachungseinheit (8) Mittel zum Bilden und Ausgeben 
eines Fehlersignals (WDA) aufweist, das in Abhangigkeit 
davon unterschiedliche Werte annimmt, ob die 
Oberwachungseinheit (8) einen Fehler der Funktionseinheit 

(3) erkannt hat oder nicht, und dass das Fehlersignal (WDA) 
an die mindestens eine Verbindungseinheit (4) gefuhrt ist 
und die mindestens eine Verbindungseinheit (4) durch das 
anliegende Fehlersignal (WDA) deaktivierbar ist, falls ein 
Fehler der Funktionseinheit (3) erkannt wurde. 

11- Steuergerat (SG) nach Anspruch 9, dadurch 
gekennzeichnet, dass das Fehlersignal (WDA) an einen 
Riicksetzeingang (RST) der mindestens einen 
Verbindungseinheit (4) gefuhrt ist. 
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Zusammenf assung 

Verfahren und Vorrichtunq zur Steuerung von 
Betriebsablauf en, insbesondere in einem Fahrzeuq 

Die Erfindung betrifft ein Verfahren und eine Vorrichtung 
zur Steuerung von Betriebsabiauf en, insbesondere in einem 
Fahrzeug- Dabei steht eine Funktionseinheit (3) zum 
Versenden und Empfangen von Inf ormationen uber mindestens 
eine Verbindungseinheit (4) mit mindestens einem Bussystem 
(2) in Verbindung. Die Funktionseinheit (3) wird von einer 
Uberwachungseinheit (8) uberwacht. Das Versenden von 
Inf ormationen von der Funktionseinheit (3) uber das 
mindestens eine Bussystem (2) wird durch die 
Uberwachungseinheit (8) unterbunden, falls ein Fehler der 
Funktionseinheit (3) erkannt wird. Urn das Versenden von 
Inf ormationen durch die Funktionseinheit (8) in einem 
Fehlerfall auf eine moglichst einfache Weise, aber dennoch 
sicher und zuverlassig zu unterbinden, wird vorgeschlagen, 
dass durch die Uberwachungseinheit (8) ein Fehlersignal 
(WDA) ausgegeben wird, das in Abhangigkeit davon 
unterschiedliche Werte annimmt, ob ein Fehler dei 
Funktionseinheit (3) erkannt wurde oder nicht, und dass das 
Fehlersignal (WDA) an der mindestens einen 
Verbindungseinheit (4) angelegt und die mindestens eine 
Verbindungseinheit (4) durch das anliegende • Fehlersignal 
(WDA) deaktiviert wird, falls ein Fehler der 
Funktionseinheit (3) erkannt wurde. (Figur 1) 
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